Discussion :

[Boub.J]

Bonjour,

Je débute en PHP et j'ai une question :

Je souhaiterais protéger ma page

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

admin/add_link_mysql.php

qui est exécutée lorsque l'on valide un formulaire dans ma page

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

admin/add_link.php

Le problème est que si l'on se rend directement sur la page

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

admin/add_link_mysql.php

sans passer par le formulaire, Cela insert des données vides dans la base de données mysql
Je souhaiterais donc protéger cette page des accès direct.
Comment cela est possible ?

Merci d'avance pour votre aide.

[Halleck]

Il doit exister pas mal de méthodes, en voici une simple :

Dans la page qui génère le formulaire (admin/add_link.php) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

define('_PARENT_PAGE', true);

et dans ta page admin/add_link_mysql.php :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if( !defined('_PARENT_PAGE')) die( 'hack attempt!');

=> tu définis une constante dans ton fichier 1, tu vérifie qu'elle existe dans ton fichier 2

[Boub.J]

Merci pour ton aide, par contre je n'arrive pas à le faire fonctionner

j'ai inclus les codes fournis au top de chacune des pages, mais ça me met toujours hack attempt !

Merci !

[real34]

Bonsoir,

Dans "admin/add_link_mysql.php", tu peux faire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
if(!empty($_POST)){
   // Ton insertion
} else {
  // rediriger vers admin/add_link.php
}

[Séb.]

Je débute en PHP et j'ai une question :

Je souhaiterais protéger ma page

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

admin/add_link_mysql.php

qui est exécutée lorsque l'on valide un formulaire dans ma page

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

admin/add_link.php

Il faut protéger les pages d'administration en ne laissant y accéder que les utilisateurs authentifiés.
Cf. les sessions http://fr.php.net/session
Ou une authentification HTTP http://fr.php.net/http-auth

Le problème est que si l'on se rend directement sur la page

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

admin/add_link_mysql.php

sans passer par le formulaire, Cela insert des données vides dans la base de données mysql

Le pb sera le même avec les utilisateurs authentifiés.
Il faut systématiquement valider les données utilisateurs présentes, ou censées l'être, avant d'effectuer une requête SQL.

Ex pour un <form> de 2 champs "nom" et "prénom" :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
// Si un form a été soumis et champs attendus renseignés
if ( isset($_POST['nom'], $_POST['prénom']) ) {
    Validation de $_POST['nom']
    Validation de $_POST['prénom']
    if ( pas d'erreur ) {
        Requête SQL
    } else {
        Affichage message d'erreur
        Ou redirection vers page d'erreur
    }
}

[Boub.J]

Bonsoir,

Dans "admin/add_link_mysql.php", tu peux faire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
if(!empty($_POST)){
   // Ton insertion
} else {
  // rediriger vers admin/add_link.php
}

Yes, ça marche, merci

> Séb.
> Halleck
Merci pour ces infos

@ ++